Los investigadores de seguridad advierten que los actores de amenazas cibernéticas están abusando de una vulnerabilidad crítica en el Servicio de actualización de Microsoft Windows Server.
La vulnerabilidad, rastreada como CVE-2025-59287implica la deserialización de datos que no son de confianza y podría permitir a intrusos ejecutar código sin autorización.
Los investigadores de Huntress dijeron que tienen atacantes vistos explotando la vulnerabilidad en cuatro redes de clientes diferentes.
El investigador senior de seguridad John Hammond describió el ataque como una técnica simple de «apuntar y disparar», y señaló que la reciente publicación de una prueba de concepto hizo que el ataque fuera trivialmente accesible para que lo lanzara cualquier hacker.
microsoft actualizaciones de seguridad emitidas fuera de banda el jueves para abordar la vulnerabilidad. «Volvimos a publicar este CVE después de identificar que la actualización inicial no mitigó completamente el problema», dijo un portavoz de Microsoft a Cybersecurity Dive.
Los expertos instaron a las organizaciones a aplicar inmediatamente el nuevo parche.
«La vulnerabilidad WSUS, que es tendencia actualmente, es un problema crítico que debería recibir la máxima prioridad para parchear en cualquier entorno», dijo Jimi Sebree, investigador senior de seguridad de Horizon3.ai, a Cybersecurity Dive. «Su presencia se debe a lo jugoso que es el objetivo del servicio».
Los piratas informáticos que comprometen el servicio pueden moverse lateralmente dentro de un sistema y obtener un acceso adicional significativo, dijo Sebree.
El servicio de actualización de Windows Server permite a los administradores de TI gestionar la implementación de actualizaciones de productos de Microsoft en sus sistemas informáticos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad el viernes agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas.
En un aviso publicado tarde ViernesCISA instó a los usuarios a identificar los servidores que son vulnerables a la explotación y aplicar inmediatamente las actualizaciones. Estos servidores tienen habilitada la función de servidor WSUS y los puertos abiertos a 8530/8531, según CISA.
Los investigadores de Arctic Wolf dijeron que estaban seguimiento de una campaña de amenazas que podría estar relacionado con la vulnerabilidad, aunque dijeron que no podían confirmar un vínculo
Fuente